オープンソースカンファレンス2011 HokkaidoのHokkaido.capセミナーで発表した、「Wiresharkを使いこなそう!」のスライドです。

1. Open Source Conference 2011 Hokkaido
Wireshark を使いこなそう！
Hokkaido.cap
2011.06.11
Masayuki YAMAKI

2. はじめに

3. 休日に、しかも夕方で疲
れきっている中、
Wireshark というマニ
アックなセミナーに参加
していただき、
ありがとうございます。

4. 自己紹介
• やまき まさゆき
- 一般社団法人LOCAL
- Hokkaido.cap
- 北海道情報セキュリティ勉強会
- サイバー大学 IT総合学部
Twitter : @yamaki_panda

5. パンダが好きです
注：セミナーの内容とパンダは特に関係ありません
写真提供 : ジャイアントパンダ写真集（フリー素材） http://giantpanda.jp

6. Hokkaido.cap
• 北海道パケットキャプチャ勉強会
- 「実践パケット解析」の内容をベースに
月1回ナイトセミナー形式で開催
- 参加無料
- 後援 : LOCAL インフラ部
- 次回予告
Hokkaido.cap#4
7/22(金) 19:00~

7. Wireshark とは
• GPL(GNU Plublic License)で配布され
ている、オープンソースのLANアナラ
イザ
- 旧名称 : Ethereal
- Windows、Mac OS X、UNIX/Linux で
動作
- http://www.wireshark.org

8. 資料について
• Hokkaido.capで使用した演習スライド
を以下のURLで公開しています。
- 今回のスライドはHokkaido.cap#1の
「Wiresharkの使い方（基礎編）」をベー
スに+αして編集したものです。
http://bit.ly/mwiW4B
- このスライドも後日公開しますので、書い
てあることは無理してメモしなくても大丈
夫です。

9. 本日のメニュー
Wiresharkを使う上で、これだけは知っ
ておくと便利なこと
• パケットキャプチャ時の注意点
• パケット解析に必要なスキルとは
• 様々な解析機能・統計機能

10. それでは
本編に入ります

11. パケット
キャプチャ時の
注意点

12. Capture Options

13. 大量キャプチャ・低スペックマシン
高負荷による取りこぼしを防ぐため
• Display Option で以下を OFF にする
- Update list of packets in real time
» 実際の時間に合わせてパケット一覧部を更新
- Automatic scrolling in live capture
» キャプチャ中に自動スクロール
• 以下は ON にする
- Hide capture info dialog
» キャプチャ状況パネルを非表示

14. 大量キャプチャ・低スペックマシン
• Name Resolution を OFF にする
- Enable MAC name resolution
» MACアドレスの上位3オクテット（ベンダーID
部）をベンダー名に変換
- Enable network name resolution
» IPアドレスをホスト名に変換
→ OFFにすることを強く推奨
- Enable transport name resolution
» トランスポート層のポート番号をアプリケーショ
ン名に変換
→ Client側の送信元ポート番号はアテにならない

15. 大量キャプチャ・低スペックマシン
• キャプチャファイルを分割保存する
- Capture files → Use mulutiple files
» キャプチャファイルがギガバイト単位になる
とWiresharkがクラッシュすることがあるた
め、ある程度の容量・時間で分割保存すると
よい
• Ring buffer with はディスク容量に余裕が
ある場合は有効にしなくてもよい
» 意図しない上書きを防ぐ

16. キャプチャ フィルタ
• 原因のわからないネットワークトラブ
ル調査では、むやみにフィルタしない
ほうがよい
- 「キャプチャフィルタ」ではなく、
「ディスプレイフィルタ」で絞り込む
- キャプチャフィルタは特定の通信先、特
定のアプリケーションのみキャプチャし
たい場合等、目的がはっきりしている場
合に使用する

17. tshark
• Wiresharkのコマンドライン版
- GUIよりも動作が軽く、バッチ化してスケ
ジューリングすることも可能
- デフォルトインストールでWireshark本体と
同じディレクトリに導入される

18. tshark 使用例
• tshark –h : ヘルプの表示
• tshark –D : インターフェースのリストを表示
• tshark -i 1 -n -a duration:100
-b filesize:1000 -w C:¥temp¥test.pcap
-i： インターフェースの指定
-n：すべての名前解決を無効
-a : 停止条件 (上記は100秒後に停止)
-b : ファイル出力条件
(上記は1000KBで次のファイルへ移動)
-w : 保存ファイル名 (-bも指定しているため
タイムスタンプ付きのファイル名となる)

19. キャプチャした
パケットを
解析する

21. ？？？？？？？？

23. なにがなんだか
わからない

24. パケット解析に必要な知識
• Wiresharkはキャプチャした結果をありのま
まに表示する
• 「なにが起こっているか」を正しく知るた
めには、解析したいプロトコル、アプリ
ケーションの知識が不可欠
• さらに「なぜそれが起こるか」まで追究す
るためは多くの場合、別作業（実機の設定
確認・デバッグなど）が必要
次ページ以降、例としてHTTP通信がWiresharkでどの
ように見えるか確認し、解決の手掛かりを掴めるよう
にする

25. メイン ウィンドウ
• Wiresharkの基本となる画面のため、まずこ
の画面の見方を正しく理解する

26. パケット一覧部
• キャプチャしたパケットを時系列で表示する
- 例えばHTTP通信の場合、ARPでゲートウェイを探す
→DNSによる名前解決→TCPの3wayハンドシェイク
の後にHTTPリクエスト送信といった一連の流れを確
認できる
• 「View」→「Time Display Format」で時刻
の表示形式を変更できる
(デフォルトはキャプチャ開始からの相対時間)

27. 色分けの意味
• パケットはプロトコル毎に色分けされる
- 「View」→「Coloring rules」で変更可
- 問題のあるパケットは 黒背景に赤字 で表
示される

28. Info部分の内容を読み取る
• 実際のリクエスト/レスポンスに加え、
Wiresharkが通知するメッセージに注目する
項目 説明
Fragmented IP Protocol IPパケットのフラグメント(断片化)
MSS(Maximum Segment Size)を
TCP segment of a
超えたためTCPレイヤで分割された
reassembled PDU
データ
TCP Window Update ウィンドウサイズが変更された
受信側から同じ応答確認番号のACK
TCP Dup Ack
を受け取った
TCP Out-Of-Order 順番の乱れたパケット
TCP Retransmission TCPによる再送要求
TCP Previous segment lost パケットの欠落

29. パケット詳細部
• Wiresharkが解読した内容をヘッダやレイヤ
別に展開、表示する

30. パケット詳細部 - Frame
• パケット全体についての説明を表示
(Wiresharkが自動で生成したフィールド)
項目 説明
Arrival Time パケットをキャプチャした時間
Time delta from 直前のパケットをキャプチャした時点からの経
previos packet 過時間
Time since reference 最初のパケットをキャプチャした時点からの経
or firest frame 過時間
Frame Number パケットの番号 (最初のパケットからの連番)
Packet Length パケットのサイズ
Capture Length キャプチャした際のフレームサイズ
(基本的にPacket Lengthと同じサイズ)
Protocol in frame パケットに含まれているヘッダ情報

31. パケット詳細部 – Ethernet II
• Ethernet IIヘッダの内容を表示
項目 説明
Destination 宛先NICのMACアドレス
Source 送信元NICのMACアドレス
Type イーサタイプ (Ethernet IIに続くパケットの
ヘッダ形式)
• IG bit : マルチキャスト or ユニキャストか
• LG bit : 本来のアドレス(工場出荷時のアドレス)か否か
• Ethernet IIヘッダのうち、プリアンブルフィールド(パ
ケットの同期を取る部分)とFCS（Frame Check
Sequence）は表示されない。

32. パケット詳細部 – Internet Protocol
• IPヘッダの内容を表示
項目 説明
Version IPのバージョン
Header Length IPヘッダのサイズ
Differentiated パケットの重要度 (サービスの種類と優先度)
Services Field 0の場合は帯域制御やQoSを行わない
Total Length パケットの全長
Identification パケットの識別情報
Flags Reserved bit: 予約用
Don’t fragment: 1の場合パケットの分割禁止
More fragment: 1の場合分割されたパケットがある
Flagment offset 分割されたパケットの現在のパケットの位置
(0の場合は先頭のパケット)

33. パケット詳細部 – Internet Protocol
(続き)
項目 説明
Time to live パケットの生存時間
ルータを経由する毎に1ずつ減り、0になると破棄
Protocol IPの後に続くヘッダの形式
Header ヘッダチェックサム(IPヘッダの内容を計算した値と
checksum この値を比較し、IPヘッダの妥当性を検証する)
Source 送信元ノードのIPアドレス
Destination 宛先ノードのIPアドレス
• IPヘッダには上記の他に「Option」が存在するが、現在こ
の機能はほとんど使われておらず、省略されている。

34. パケット詳細部 – Transmission Control Protocol
• TCPヘッダの内容を表示
項目 説明
Source port 送信元プロセスのポート番号
Destination port 宛先プロセスのポート番号
Sequence 現在送信しているTCPセグメントのシーケンス番号
number (通信が確立すると初期シーケンス番号+1がセットさ
れ、以降送信セグメントのバイト数が足されていく)
Next Sequence 次のシーケンス番号(現在のシーケンス番号に送信す
number るTCPデータサイズを足した値)
Acknowledgeme 確認応答番号(受信したTCPセグメントの番号)
nt number 実際には受信したバイト数が確認応答番号となる
• シーケンス番号や確認応答番号は通信の都度ランダムな初
期値がセットされる。パケット詳細部ではバイナリ部で表
示される実際の値ではなく相対的な値を表示している。

35. パケット詳細部 – Transmission Control Protocol
項目 説明
Header length TCPヘッダのサイズ
Flags 通信の制御を行う
Reserved: 予約領域(常に0)
Nonce: 明示的な輻輳処理(RFC3540)
CWR: ウィンドウサイズの縮小
ECN-Ecoh: Urgentの場合→パケットの緊急処理
Acknowledgement: 確認応答番号が有効
Push: プッシュ機能が有効
Reset: TCP通信の強制終了
Syn: 通信の開始手続き
Fin: 通信の終了手続き
Window size 連続して受信可能なバッファサイズ
Checksum TCPヘッダの妥当性チェック
• TCPヘッダには上記の他に「Option」が存在するが、現在
この機能はほとんど使われておらず、省略されている。

36. パケット詳細部 – Transmission Control Protocol
項目 説明
SEQ/ACK Analysis Wiresharkが自動的に生成したフィールド
関連のあるパケットへのリンクを生成したり、
Reassembled TCP RTT(Round Trip Time:ACKパケットの往復時間)
Segments を表示したりする

37. パケット詳細部 – Hypertext Transfer Protocol
• HTTPのリクエストライン、操作(メソッド)、
ヘッダ、レスポンスの内容を表示する

38. バイナリデータ部
• キャプチャしたデータを生の状態で16進数
(または2進数)とASCIIで表示する
- テキストベースのプロトコルは内容が読める

39. 知っておきたい
基本操作

40. パケットの検索
• 「Edit」→「Find Packet」または
[Ctrl]+[F]
- ディスプレイフィルタ、16進数、文字列
による検索が可能

41. パケットのマーキング
• 右クリック→「Mark Packet」または
[Ctrl]+[M]
- マーキングしたパケットは黒背景に白文字になる
- 特定のパケットのみ操作・保存したい場合など
に使用

42. その他 主なショートカットキー
ショートカットキー 説明
[Ctrl] + [O] ファイルを開く
[Ctrl] + [W] ファイルを閉じる
[Ctrl] + [R] ファイルの再読み込み
[Ctrl] + [+] 拡大表示
[Ctrl] + [-] 縮小表示
[Ctrl] + [=] 原寸表示
[Ctrl] + [G] 指定した番号のパケットへ移動
[Ctrl] + [F] パケットの検索
[Ctrl] + [N] 次の検索候補へ移動
[Ctrl] + [B] 前の検索候補へ移動
[Ctrl] + [M] パケットのマーキング
[Shift] + [Ctrl] + [N] 次のマーキングパケットへ移動
[Shift] + [Ctrl] + [B] 前のマーキングパケットへ移動

43. ディスプレイ フィルタ
• 元のキャプチャデータは変更せずに条件に合
致するパケットだけを表示する
• Filter テキストボックスへ条件式を入力

44. ディスプレイフィルタ 書式
• 構文とフィルタ例
Comparison Logical Other
Protocol String1 String2 Value
・ ・
operator Operations Expreession
ip. addr (省略) == 10.1.60.1 && http
→ IPアドレス 10.1.60.1を含むHTTPのパケットを表示
ftp. request. command == “USER”
→ FTPリクエストコマンドに“USER”を含むパケットを表示
icmp
→ ICMPのパケットを表示
!icmp
→ ICMPのパケットを表示しない
ip.addr == 192.168.0.1 && ip.addr == 192.168.0.2
→ IPアドレス192.168.0.1と192.168. 0.2のパケットを表示

45. 比較演算子 と 論理演算子
• 比較演算子 • 論理演算子
英語表記 記号表記 説明 英語表記 記号表記 説明
eq == 等しい and && 論理積
ne != 等しくない or || 論理和
gt > 大なり xor ^^ 排他的論理和
lt < 小なり not ! 否定
ge >= 以上
le <= 以下
• 例：IPアドレス 192.168.0.1 のパケットを表示しない
!(ip.addr == 192.168.0.1)
※ ip.addr != 192.168.0.1 ではないので注意

46. Follow TCP Stream
• TCP通信の一連の中身を確認する
• 右クリック→「Follow TCP Stream」
クライアントからの
リクエスト
サーバーからの
レスポンス

47. Follow TCP Stream 補足
• 「Follow TCP Stream」を実行すると、自
動で該当パケットのみ表示するディスプレ
イフィルタが適用された状態となる。

48. Decode As
• 既定のポート番号以外の通信では、自動解析の結
果が期待どおりとならない
• 手動でポート番号とプロトコルを指定する
• 右クリック →「Decode As」

49. Decode As 前後の比較
実行前
実行後

50. 便利な統計機能

51. Expert Info Composite
• 全体でどんなエラーが発生しているか確認
• 「Analyze」→「Expert Info Composite」

52. Protocol Hierarchy
• 通信全体に占めるプロトコル毎の割合をみる
• 「Statistics」→「Protocol Hierarchy 」

53. Endpoints
• ノード毎の統計、通信の多いノードの把握
• 「Statistics」→「Endpoints」

54. Conversations
• 2つのノード間の統計、対話状況をみる
• 「Statistics」→「Conversations 」

55. IO Graphs
• トラフィックの推移をみる
• 「Statistics」→「IO Graphs 」

56. TCP Stream Graphs
• RTT(往復遅延時間)、スループットの把握
• 「Statistics」→「TCP Stream Graphs」→
→ 「Round Trip Time Graphs」
→ 「Throughput Graphs」

57. このセッションのまとめ
• Wiresharkの使い方をざっと紹介しました。
• パケット解析にはプロトコルの知識が不可
欠です。本を読むだけではなく、実際に
Wiresharkを使ってプロトコルの実装や
動きを覗いてみるとより理解が深まると思
います。
• Wiresharkには様々な解析機能・統計機能
があります。うまく使いこなして、効率よ
く解析しましょう。

58. もう1つ
便利な機能を紹介

59. HTTPオブジェクトの出力機能
• 「File」→「Export」→「Objects」
→「HTTP」

60. 以上でこのセッションは終了ですが
最後に

61. 今年のOSC-do
テーマについて
一言

63. 「守」
師や各流派の教えを忠実に守り、それからはずれる
ことのないように精進して身につけよ。
「破」
今まで学んで身につけた教えから一歩進めて他流の
教え、技を取り入れることを心がけ、師から教えられ
たものにこだわらず、さらに心と技を発展させよ。
「離」
破からさらに修行して、守にとらわれず破も意識せ
ず、新しい世界を拓き、独自のものを生みだせ。
参考：活人剣抜刀道

64. つよくてニューゲーム
一度ゲームをクリアした後、クリア時点での能
力・アイテムを引き継いで、最初から強い状態
でゲームをはじめること。

65. つまり
なにが
言いたいか

66. もう一度基本に立ち戻って
新しくはじめてみよう
きっとこれまでの経験は誰かの役に立ち、新し
い発見や出会いがあるはずです。
これからもOSC-doや勉強会を通して、一緒に
北海道の技術者文化を作っていけたら幸いです。

67. 今日は最後までOSC-do
を楽しんでください
ご清聴ありがとう
ございました